En la consola de Workspace ONE Access, introduzca la información necesaria para conectar con Active Directory y seleccione los usuarios y los grupos que se deben sincronizar con el directorio de Workspace ONE Access.

Las opciones de conexión de Active Directory son Active Directory mediante LDAP o Active Directory mediante autenticación de Windows integrada. La conexión de Active Directory mediante LDAP es compatible con la búsqueda de ubicación del servicio DNS.

Requisitos previos

  • Instale el servicio de sincronización de directorio, que está disponible como un componente de la versión 20.01.0.0 o posterior de Workspace ONE Access Connector. Para obtener más información, consulte Instalación y configuración de VMware Workspace ONE Access Connector.

    Si desea utilizar el servicio de autenticación de usuario para autenticar a los usuarios del directorio, instale también el componente de dicho servicio.

  • Seleccione los atributos de usuario necesarios y agregue otros adicionales (si es necesario) desde la página Atributos de usuario en la consola de Workspace ONE Access. Consulte Administrar atributos de usuario en Workspace ONE Access.
  • Realice una lista de los usuarios y grupos de Active Directory que va a sincronizar desde Active Directory. Los nombres de grupo se sincronizan con el directorio inmediatamente. Los miembros de un grupo no se sincronizan hasta que el grupo goce de autorización para utilizar los recursos o hasta que se lo agregue a una regla de directiva. Los usuarios que necesiten autenticarse antes de que se configuren las autorizaciones de grupo deben agregarse durante la configuración inicial.
  • Para Active Directory mediante LDAP, se necesitan la contraseña y los DN base y de usuario de enlace.

    El usuario de enlace debe tener los siguientes permisos en Active Directory para conceder acceso a los usuarios y los objetos de grupos:

    • Leer
    • Leer todas las propiedades
    • Permisos de lectura
    Nota: Se recomienda utilizar una cuenta de usuario de enlace con una contraseña que no caduque.
  • Para Active Directory mediante autenticación de Windows integrada, necesita la contraseña y el nombre de usuario del usuario de enlace que tiene permiso para realizar consultas en usuarios y grupos para los dominios requeridos.

    El usuario de enlace debe tener los siguientes permisos en Active Directory para conceder acceso a los usuarios y los objetos de grupos:

    • Leer
    • Leer todas las propiedades
    • Permisos de lectura
    Nota: Se recomienda utilizar una cuenta de usuario de enlace con una contraseña que no caduque.
  • Si Active Directory requiere acceso mediante SSL/TLS, se necesitan los certificados de CA intermedio (si se utiliza) y raíz de los controladores de dominio para todos los dominios de Active Directory pertinentes. Si los controladores de dominio tienen certificados intermedio y raíz de varias entidades de certificación, se necesitan todos estos certificados.
  • Para Active Directory mediante autenticación de Windows integrada, cuando tiene configurado Active Directory con varios bosques y el grupo local de dominios incluye miembros de dominios de diferentes bosques, asegúrese de que el usuario de enlace se agregue al grupo Administradores del dominio en el que reside el grupo local de dominios. De lo contrario, estos miembros no estarán en el grupo local de dominios.
  • Para Active Directory mediante autenticación de Windows integrada:
    • Para todos los controladores de dominio que aparecen en los registros de SRV y los RODC ocultos, nslookup de nombre de host y dirección IP debe funcionar.
    • Todos los controladores de dominio deben ser accesibles en lo que a conectividad de red respecta.

Procedimiento

  1. En la consola de Workspace ONE Access, vaya a Administración de acceso e identidad > Administrar > Directorios.
  2. Haga clic en Agregar directorio y seleccione Agregar Active Directory en LDAP/IWA.
  3. Introduzca un nombre para el directorio de Workspace ONE Access.
  4. Seleccione el tipo de Active Directory que va a integrar (Active Directory mediante LDAP o Active Directory mediante autenticación de Windows integrada).
  5. Si va a integrar Active Directory mediante LDAP, siga estos pasos. De lo contrario, continúe con el paso 6.
    1. En la sección Sincronización y autenticación de directorios, seleccione las opciones siguientes.
      Opción Descripción
      Hosts de sincronización de directorios Seleccione una o varias instancias del servicio de sincronización de directorio que se deben utilizar para sincronizar este directorio. Se enumeran todas las instancias de dicho servicio que están registradas en el tenant. Solo puede seleccionar las que están en estado activo.

      Si se seleccionan varias instancias, Workspace ONE Access utiliza la primera seleccionada en la lista para sincronizar el directorio. Si la primera instancia no está disponible, pasa a la siguiente, y así sucesivamente. Tras crear un directorio, puede reordenar la lista desde su correspondiente página Configuración de sincronización.

      Autenticación Seleccione si desea autenticar a los usuarios de este directorio con el servicio de autenticación de usuario. Este servicio debe estar previamente instalado. Al seleccionar , se crean automáticamente el método de autenticación Contraseña (implementación en la nube) y un proveedor de identidad para el directorio.

      Seleccione No si no desea autenticar a los usuarios de este directorio con el servicio de autenticación de usuario. Si decide utilizar este servicio más adelante, puede crear el método de autenticación Contraseña (implementación en la nube) y el proveedor de identidad para el directorio de forma manual.

      Hosts de autenticación de usuario Esta opción aparece cuando Autenticación se establece en . Seleccione una o varias instancias del servicio de autenticación de usuario que se deben utilizar para autenticar a los usuarios de este directorio. Se enumeran todas las instancias de dicho servicio que están registradas en el tenant con estado activo.

      Si se seleccionan varias instancias, Workspace ONE Access les envía solicitudes de autenticación por turnos (round-robin).

      Atributo de búsqueda de directorios Seleccione el atributo de cuenta que contiene el nombre de usuario.
    2. Si desea utilizar la búsqueda de ubicación del servicio DNS para Active Directory, seleccione las opciones siguientes.
      • En la sección Ubicación del servidor, active la casilla Este directorio admite la ubicación de servicio de DNS.

        Workspace ONE Access busca y utiliza controladores de dominio óptimo. Si no desea utilizar la opción de controlador de dominio óptimo, continúe con el paso c.

      • Si Active Directory requiere acceso mediante SSL/TLS, seleccione la casilla de verificación Este directorio requiere que todas las conexiones usen STARTTLS en la sección Certificados. A continuación, copie y pegue los certificados de CA intermedio (si se utiliza) y raíz de los controladores de dominio en el cuadro de texto Certificado SSL.

        Introduzca en primer lugar el certificado de CA intermedio y, seguidamente, el raíz. Asegúrese de que todos los certificados estén en formato PEM e incluyan las líneas BEGIN CERTIFICATE y END CERTIFICATE.

        Si los controladores de dominio tienen certificados intermedio y raíz de varias entidades de certificación, introduzca una tras otra todas las cadenas de certificados de CA intermedio-raíz.

        Por ejemplo:

        -----BEGIN CERTIFICATE-----
        ...
        <Intermediate Certificate 1>
        ...
        -----END CERTIFICATE-----
        -----BEGIN CERTIFICATE-----
        ...
        <Root Certificate 1>
        ...
        -----END CERTIFICATE-----
        -----BEGIN CERTIFICATE-----
        ...
        <Intermediate Certificate 2>
        ...
        -----END CERTIFICATE-----
        -----BEGIN CERTIFICATE-----
        ...
        <Root Certificate 2>
        ...
        -----END CERTIFICATE-----
        Nota: Si Active Directory requiere acceso mediante SSL/TLS y no se proporcionan los certificados, no se puede crear el directorio.
    3. Si no desea utilizar la búsqueda de ubicación del servicio DNS para Active Directory, seleccione las siguientes opciones.
      • En la sección Ubicación del servidor, compruebe que la casilla Este directorio admite la ubicación de servicio de DNS no esté seleccionada, e introduzca el número de puerto y el nombre de host del servidor de Active Directory.

        Para configurar el directorio como un catálogo global, consulte la sección Entorno de varios dominios y un único bosque de Active Directory de Entornos de Active Directory.

      • Si Active Directory requiere acceso mediante SSL/TLS, seleccione la casilla de verificación Este directorio requiere que todas las conexiones usen SSL en la sección Certificados. A continuación, copie y pegue el certificado de CA intermedio (si se utiliza) y raíz del controlador de dominio en el campo Certificado SSL.

        Introduzca en primer lugar el certificado de CA intermedio y, seguidamente, el raíz. Asegúrese de que el certificado esté en formato PEM e incluya las líneas BEGIN CERTIFICATE y END CERTIFICATE.

        Nota: Si Active Directory requiere acceso mediante SSL/TLS y no se proporciona el certificado, no se puede crear el directorio.
    4. En la sección Detalles del usuario de enlace, introduzca la siguiente información.
      Opción Descripción
      DN base Introduzca el DN desde el que deben empezar las búsquedas en cuentas. Por ejemplo, OU=myUnit,DC=myCorp,DC=com.
      Nota: El DN base se utiliza a efectos de autenticación. Solo pueden autenticarse los usuarios que aparecen a continuación del DN base. Asegúrese de que los DN de grupo y usuario que especifique más adelante a efectos de sincronización aparezcan a continuación del DN base.
      DN de usuario de enlace Introduzca la cuenta que puede buscar usuarios. Por ejemplo, CN=binduser,OU=myUnit,DC=myCorp,DC=com.
      Nota: Se recomienda utilizar una cuenta de usuario de enlace con una contraseña que no caduque.
      Contraseña del usuario de enlace Escriba la contraseña del usuario de enlace.
  6. Si va a integrar Active Directory mediante autenticación de Windows integrada, siga estos pasos.
    1. En la sección Sincronización y autenticación de directorios, seleccione las opciones siguientes.
      Opción Descripción
      Hosts de sincronización de directorios Seleccione una o varias instancias del servicio de sincronización de directorio que se deben utilizar para sincronizar este directorio. Se enumeran todas las instancias de dicho servicio que están registradas en el tenant con estado activo.

      Si se seleccionan varias instancias, Workspace ONE Access utiliza la primera seleccionada en la lista para sincronizar el directorio. Si la primera instancia no está disponible, pasa a la siguiente, y así sucesivamente. Tras crear un directorio, puede reordenar la lista desde su correspondiente página Configuración de sincronización.

      Autenticación Seleccione si desea autenticar a los usuarios de este directorio con el servicio de autenticación de usuario. Este servicio debe estar previamente instalado. Al seleccionar , se crean automáticamente el método de autenticación Contraseña (implementación en la nube) y un proveedor de identidad para el directorio.

      Seleccione No si no desea autenticar a los usuarios de este directorio con el servicio de autenticación de usuario. Si cambia de opinión más adelante, puede crear el método de autenticación Contraseña (implementación en la nube) y el proveedor de identidad para el directorio de forma manual.

      Hosts de autenticación de usuario Esta opción aparece cuando Autenticación se establece en . Seleccione una o varias instancias del servicio de autenticación de usuario que se deben utilizar para autenticar a los usuarios de este directorio. Se enumeran todas las instancias de dicho servicio que están registradas en el tenant con estado activo.

      Si se seleccionan varias instancias, Workspace ONE Access les envía solicitudes de autenticación por turnos (round-robin).

      Atributo de búsqueda de directorios Seleccione el atributo de cuenta que contiene el nombre de usuario.
    2. Si Active Directory requiere acceso mediante SSL/TLS, seleccione la casilla de verificación Este directorio requiere que todas las conexiones usen STARTTLS en la sección Certificados. A continuación, copie y pegue los certificados de CA intermedio (si se utiliza) y raíz de los controladores de dominio en el cuadro de texto Certificado SSL.

      Introduzca en primer lugar el certificado de CA intermedio y, seguidamente, el raíz. Asegúrese de que todos los certificados estén en formato PEM e incluyan las líneas BEGIN CERTIFICATE y END CERTIFICATE.

      Si los controladores de dominio tienen certificados intermedio y raíz de varias entidades de certificación, introduzca una tras otra todas las cadenas de certificados de CA intermedio-raíz.

      Por ejemplo:

      -----BEGIN CERTIFICATE-----
      ...
      <Intermediate Certificate 1>
      ...
      -----END CERTIFICATE-----
      -----BEGIN CERTIFICATE-----
      ...
      <Root Certificate 1>
      ...
      -----END CERTIFICATE-----
      -----BEGIN CERTIFICATE-----
      ...
      <Intermediate Certificate 2>
      ...
      -----END CERTIFICATE-----
      -----BEGIN CERTIFICATE-----
      ...
      <Root Certificate 2>
      ...
      -----END CERTIFICATE-----
      Nota: Si Active Directory requiere acceso mediante SSL/TLS y no se proporcionan los certificados, no se puede crear el directorio.
    3. En la sección Detalles del usuario de enlace, introduzca el nombre de usuario y la contraseña del usuario de enlace que tiene permiso para realizar consultas en usuarios y grupos para los dominios requeridos. Introduzca un nombre de usuario como sAMAccountName@domain, donde "domain" es el nombre de dominio completo. Por ejemplo, jperez@ejemplo.com.
      Nota: Se recomienda utilizar una cuenta de usuario de enlace con una contraseña que no caduque.
  7. Haga clic en Guardar y Siguiente.
  8. En la página Seleccionar los dominios, seleccione los dominios si corresponde y haga clic en Siguiente.
    • Para Active Directory mediante LDAP, los dominios aparecen ya seleccionados en la lista.
    • Para Active Directory mediante autenticación de Windows integrada, seleccione los dominios que deben asociarse con esta conexión de Active Directory. Aparecen todos los dominios que mantienen una relación de confianza bidireccional con el dominio base.

      Si, después de crear el directorio de Workspace ONE Access, se agregan a Active Directory dominios que mantienen una relación de confianza bidireccional con el dominio base, puede agregarlos desde la página Configuración de sincronización > Dominios del directorio. Solo tiene que hacer clic en Actualizar para obtener la lista más reciente.

      Sugerencia: Elija los dominios de confianza uno por uno (no a la vez) para que la operación de guardarlos no precise un tiempo excesivo y no agote el tiempo de espera. Si los dominios se eligen de manera secuencial, el servicio de sincronización de directorio realiza las acciones que se requieren en un único dominio cada vez.
    • Cuando se crea un directorio de Active Directory mediante LDAP con la opción Catálogo global seleccionada, la pestaña Dominios no aparece.
  9. En la página Asignar atributos de usuario, compruebe que los nombres de atributos del directorio de Workspace ONE Access están asignados a los atributos correctos de Active Directory, realice los cambios necesarios y haga clic en Siguiente.
  10. Seleccione los grupos que desee sincronizar desde Active Directory al directorio de Workspace ONE Access.
    Tenga en cuenta las siguientes consideraciones al agregar grupos:
    • Como práctica recomendada, cuando cree un directorio, agregue y sincronice una pequeña cantidad de grupos. Tras la configuración inicial, puede agregar otros.
    • Cuando se agregan y sincronizan grupos, sus nombres también se sincronizan con el directorio. Los usuarios que son miembros del grupo no se sincronizan con el directorio hasta que el grupo tenga autorización para una aplicación o el nombre del grupo se agregue a una regla de directiva de acceso.
      Nota: Para anular esta restricción, habilite la opción Sincronizar los miembros del grupo con el directorio al agregar un grupo en la página Administración de acceso e identidad > Configurar > Preferencias.
    • Cuando sincroniza un grupo, los usuarios que no tengan Usuarios del dominio como su grupo principal en Active Directory no se sincronizan.
    Para seleccionar los grupos, especifique un DN o varios y seleccione los grupos que aparecen a continuación.
    1. En la fila Especificar DN de grupo, haga clic en + y especifique el DN de grupo. Por ejemplo, CN=users,DC=example,DC=company,DC=com.
      Sugerencia: No se recomienda introducir un DN de alto nivel como DN base en el que realizar la búsqueda, ya que esta operación precisaría mucho tiempo. A estos efectos, intente introducir un DN más específico.
      Importante: Especifique los DN de grupo que aparecen a continuación del DN base que introdujo en el cuadro de texto DN base en la página Agregar directorio. Si un DN de grupo aparece fuera del DN base, los usuarios de dicho DN se sincronizarán, pero no podrán iniciar sesión.
    2. Si desea seleccionar todos los grupos que aparecen a continuación del DN de grupo, haga clic en Seleccionar todo.
      Cuando se agregan o eliminan grupos en el DN de grupo en Active Directory después de crear el directorio, los cambios se reflejan en las sincronizaciones posteriores.
    3. Si desea seleccionar grupos específicos en el DN de grupo en lugar de elegirlos todos, haga clic en Seleccionar, elija los elementos que desee y haga clic en Guardar.
      Al hacer clic en Seleccionar, aparecen todos los grupos que se encuentran en el DN. Para limitar los resultados o buscar grupos específicos, introduzca un término de búsqueda en el cuadro correspondiente.
    4. Seleccione la opción Sincronizar miembros de grupo anidados o anule su selección, según sea necesario.
      La opción Sincronizar miembros de grupo anidados se habilita de forma predeterminada. Cuando se habilita esta opción, todos los usuarios que pertenecen directamente al grupo que seleccione y los que pertenecen a grupos anidados dentro de este grupo se sincronizan cuando el grupo está autorizado. Tenga en cuenta que los grupos anidados no se sincronizan. Solo se sincronizarán los usuarios que pertenezcan a los grupos anidados. En el directorio de Workspace ONE Access, estos usuarios serán miembros del grupo de nivel principal que seleccionó para sincronizarse.

      Si deshabilita la opción Sincronizar miembros de grupo anidados, todos los usuarios que pertenezcan directamente a ese grupo se sincronizarán en el grupo que especificó. Los usuarios que pertenezcan a grupos anidados bajo este grupo no se sincronizarán. Deshabilitar esta opción resulta útil para las grandes configuraciones de Active Directory en las que atravesar un árbol de grupo requiera demasiado tiempo o demasiados recursos. Si deshabilita esta opción, asegúrese de que selecciona todos los grupos cuyos usuarios desee sincronizar.

  11. Haga clic en Siguiente.
  12. Seleccione los usuarios que se deben sincronizar.
    Tenga en cuenta las siguientes consideraciones al agregar usuarios:
    • Debido a que los miembros de grupos no se sincronizan con el directorio hasta que el grupo tiene autorización para aplicaciones o se lo agrega a una regla de directiva de acceso, agregue todos los usuarios que necesitan autenticarse antes de que se configuren las autorizaciones de grupo.
    • El usuario de enlace que se especifica en la sección de detalles correspondiente no se sincroniza con el servicio de Workspace ONE Access de forma predeterminada. Si desea sincronizarlo, introduzca el DN de usuario en esta pestaña. Si es necesario establecer la función de este usuario, puede hacerlo una vez que se sincronice el directorio.
    1. En la fila Especificar DN de usuario, haga clic en + e introduzca estos DN. Por ejemplo, CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
      Importante: Especifique los DN de usuario que aparecen a continuación del DN base que introdujo en el cuadro de texto DN base en la página Agregar directorio. Si un DN de usuario aparece fuera del DN base, los usuarios de dicho DN se sincronizarán, pero no podrán iniciar sesión.
    2. (Opcional) Para excluir usuarios, cree filtros para excluirlos según el atributo seleccionado. Puede crear varios filtros de exclusión.
      Debe seleccionar el atributo de usuario por el que desea filtrar y el filtro de consulta que se aplicará al valor que defina.
      Opción Descripción
      Incluye Excluye todos los usuarios que coinciden con el atributo y el valor establecidos. Por ejemplo, nombre incluye Juan excluye los usuarios con el nombre "Juan".
      No incluye Excluye todos los usuarios, excepto los que coinciden con el atributo y el valor establecidos. Por ejemplo, telephoneNumber no incluye 800 incluye solo los usuarios cuyo número de teléfono contiene "800".
      Comienza con Excluye todos los usuarios cuyo valor de atributo comienza con los caracteres especificados. Por ejemplo, employeeID comienza con ACME0 excluye todos los usuarios que tienen un ID de empleado que incluye "ACME0" al principio del número de ID.
      Termina con Excluye todos los usuarios cuyo valor de atributo termina en los caracteres especificados. Por ejemplo, correo termina con ejemplo1.com excluye todos los usuarios que tienen una dirección de correo electrónico que termina en "ejemplo1.com".
    El valor distingue entre mayúsculas y minúsculas. No utilice los siguientes símbolos en la cadena de valores.
    • Asterisco *
    • Símbolo de intercalación ^
    • Paréntesis ( )
    • Signo de interrogación ?
    • Signo de exclamación !
    • Signo de dólar $
  13. Haga clic en Siguiente.
  14. En la página Frecuencia de sincronización, configure una programación para sincronizar los usuarios y los grupos a intervalos regulares. Si no desea establecer dicha programación, seleccione Manualmente en la lista desplegable Frecuencia de sincronización.
    La hora corresponde a la zona horaria UTC.
    Sugerencia: Programe que los intervalos de sincronización sean superiores al tiempo de sincronización. Si se están sincronizando usuarios y grupos con el directorio cuando está programada la próxima sincronización, la nueva sincronización se inicia inmediatamente tras la finalización de la sincronización anterior.
    Si selecciona Manualmente, debe hacer clic en el botón Sincronizar de la página del directorio cada vez que desee sincronizarlo.
  15. Haga clic en Guardar para crear el directorio o en Sincronizar directorio para crearlo e iniciar su sincronización.

Resultados

La conexión con Active Directory está establecida. Si se hizo clic en Sincronizar directorio, los nombres de usuarios y grupos se sincronizarán desde Active Directory con el directorio de Workspace ONE Access.

Para obtener más información sobre cómo se sincronizan los grupos, consulte "Administrar usuarios y grupos" en Administración de VMware Workspace ONE Access.

Qué hacer a continuación

  • Si se establece la opción Autenticación en Sí, se crean automáticamente para el directorio un proveedor de identidad denominado IDP para directoryname y un método de autenticación Contraseña (implementación en la nube). Puede verlos en las páginas Administración de acceso e identidad > Administrar > Proveedores de identidades y Métodos de autenticación empresarial. También puede crear más métodos de autenticación para el directorio desde la pestaña Métodos de autenticación empresarial. Para obtener información sobre la creación de métodos de autenticación, consulte la guía <AuthGuide>.
  • Revise la directiva de acceso predeterminada en la página Administración de acceso e identidad > Administrar > Directivas.
  • Revise la configuración predeterminada de los elementos de protección de la sincronización y realice los cambios necesarios. Para obtener más información, consulte Configurar los elementos de protección de la sincronización de directorio.